EuGH kippt Privacy Shield: was nun? (EU vs. USA Teil I)

Thomas Reisinger | 24.July 2020

Aufruhr in der Welt des Datenschutzes! Maximilian Schrems hat wieder einmal für Schlagzeilen gesorgt. Mit der Entscheidung C-311/18 hat der EuGH das EU-US Privacy Shield (zurecht) gebrochen!
Doch dieser Sieg kommt mit einm schalen Beigeschmack der Verunsicherung darüber wie es weitergeht!

Das Team von DSGVO.CARE berichtet - wie immer - ausführlich und wird sich hier in mehreren Beiträgen zu den aktuellen Entwicklungen äußern und euch am Laufenden halten.

Das Privacy Shield ist tot! So kann man grob gesagt die Entscheidung des EuGH C-311/18 auch bekannt als "Schrems II"-Urteil zusammenfassen. Für die Allgemeinheit kam dieses Urteil sicher überraschend. Bei jenen die sich - aus welchen Gründen auch immer - mit der Materie Datenschutzrecht auseinandersetzen, dürfte der Überraschungseffekt geringer ausgefallen sein: der Fall des Privacy Shield - zumindest in seiner gegenwärtigen Form - war schon seit Jahren abzusehen.

Keine Frage ob sondern wann!

Es war keine Frage des "ob" sondern eine Frage des "wann". Was jedoch auch in der Welt des Datenschutzes für Überraschung gesorgt hat, ist der Umstand, dass es keine Übergangsfrist gibt. Ungeachtet der Tatsache, dass rein formal erst mit der Entscheidung des Gerichtes, welches den EuGH angerufen hat, wirklich eine Entscheidung in der Sache "Schrems II" vorliegt, kann man bereits jetzt faktisch sagen, dass das Privacy Shield Geschichte ist.

Die USA unser "Freund" und wohl weltgrößte Spionageorganisation

Warum der EuGH so entschieden hat ist klar: US-Geheimdienste dürfen aufgrund US-amerikanischer Überwachungsgesetze ala PATRIOT-Act, CLOUD-Act, FISA und Co auf die Daten von faktisch allen Unternehmen, welche ihre (besser gesagt: Ihre!) Daten zugreifen und hat das bereits auch nachweislich gemacht und zwar in Kooperation mit Cisco, dem weit verbreiteten Router- und Switches-Lieferanten der auch bei uns (weiterhin) breit eingesetzt wird. Das ist nun einmal mit dem Grundrecht auf Datenschutz nicht vereinbar von allgemeiner Rechtsstaatlichkeit im von wikileaks aufgedeckten Spionage Fall reden wir erst gar nicht.

Was sagt der EuGH

Der EuGH kam daher zu dem Schluss, dass Datenübermittlungen in die USA auf Basis des Privacy Shields nicht rechtmäßig sind. Daneben gibt es aber auch noch weitere geeignete Garantien für Drittlandsübermittlungen wie etwa Standardvertragsklauseln. Hier war der EuGH wirklich mutig (und hier wird es wirklich kompliziert) und urteilte, dass auch die Verwendung von sogenannten Standarddatenschutzklauseln nicht ohne weiteres einen Ausweg bietet, da ja das Problem die Überwachungsgesetze der USA sind.

Anmerkung: auf eine lange Darstellung des Urteils und der Vorgeschichte wird in diesem Beitrag bewusst verzichtet. Die ausführlichen Informationen dazu finden sich - wie gewohnt - in Verlinkungen rechts.

Und wie gehts weiter?

Die Frage die sich alle stellen und die wir hier behandeln lautet: Wie geht es jetzt (zumindest fürs Erste) weiter?

Genau weiß das niemand! Defacto ist die Entscheidung des EuGH gleichermaßen rechtlicher als auch politischer Natur, da man die USA vor die Wahl stellt entweder deren Überwachungsgesetze zu ändern oder - falls nicht - die wirtschaftlichen Konsequenzen zu tragen, da europäische Unternehmen aufgrund des Damoklesschwerts von DSGVO-Geldbußen sich anderer (europäischer) Unternehmen zur Datenverarbeitung bedienen werden müssen.

Was sollen nun aber Unternehmen tun, welche in irgendeiner Form Datenverarbeitungen (Cloud-Speicher, IT-Security-Dienste, skalierbare Cloudcomputing-Lösungen, Office-Lösungen, etc...) mit US-Bezug verwenden?

Der von uns bereits oftmals kommunizierte und oft lächelnd bei Seite geschobene Weg des migrierens von US Diensten auf europäische oder Lösungen anderer Länder mit zb. Angemessenheitsbeschluss (Schweiz, Andorra, Argentinien, Canada, New Zealand...) oder einem vergleichbaren Datenschutzniveau ohne Menschenrechte ignorierenden Überwachungsstaat.

Cloud Speicher

Simpler Cloud-Speicher sollte hier das geringste Problem darstellen da es für diese auch europäische Lösungen wie Sand am Meer gibt bzw. man sich nextcloud (open source und bereits weitflächig eingesetzt) sogar selbst hosten kann und damit gar keinen Auftragsverarbeiter mehr benötigt außer unter Umständen den Hoster.

IT-Security-Dienste

Auch hier gibts genügend europäische, ja sogar österreichische Unternehmen die in diese Bresche springen können. Eine kurze Internet Recherche sollte ausreichen.

AWS, Googel, Microsoft, IBM

Hier wird es schwierig den das hat Europa leider völlig verschlafen. Hier gibt es derzeit zumindest keine uns bekannte Alternative (falls doch sind wir dankbar für Tips) die es mit den genannten US-Lösungen aufnehmen können.

Office

Das könnte die Zeit der OpenSource und Nischenanbieter in diesem Bereich werden, vorausgesetzt natürlich man ist nicht an gewachsene Makro und pseudo Datenbank Strukturen angekettet. Große Unternehmen mit hohem integrationsgrad von Lösungen dürfte das allgemein schwieriger fallen, bei kleineren Unternehmen sehen wir dagegen mit Ausnahme für die Controller Excell-Jongleure keine großen Probleme.

Der kompliziertere Weg

Standarddatenschutzklauseln! Hierbei gilt zu beachten, dass man es nach Ansicht des EuGH nicht einfach beim bloßen Abschließen belassen darf.
Zusätzlich gilt es mittels geeigneter Garantien sicherzustellen, dass der Empfänger der Daten in den USA auch tatsächlich sicherstellen kann, dass es zu keinem Zugriff durch US-Behörden kommt bzw. dieser zumindest legitime Ziele verfolgt und verhältnismäßig ist.
Stellt sich nur die Frage: wie macht man das? Nun... das ist die Frage die in den nächsten Monaten von diversen Datenschutz-Experten erst beantwortet werden wird - das treuhändische Verfahren von Microsft mit der deutschen T-Systems und der europäischen MS Cloud-Lösung könnte zB so ein Schritt in die richtige Richtung sein.
Noch einfacher für uns wäre es natürlich wenn US-amerikanische Unternehmen ihre Zentrale nach Europa verlegen, aber das wird wohl ein unerfüllter Wunsch bleiben.

Als einen ersten Praxis-Tipp empfiehlt es sich allerdings Datenverarbeitern in den USA zusätzlich zu den Standarddatenschutzklauseln einen Fragebogen zu schicken in welchem man diese Maßnahmen abklärt.
Ein entsprechender Fragebogen als auch die Standarddatenschutzklauseln findet sich in den Links!

Daneben gilt es natürlich noch zu erwähnen, dass nicht alle Datenübertragungen der Standarddatenschutzklauseln bedürfen. Drittlandsübermittlungen sind - sofern sie "notwendig" sind - gemäß Art 49 DSGVO nachwievor zulässig. Voraussetzung ist, dass diese zum Beispiel zur erfüllung eines Vertrages erforderlich sind. Die Buchung von Hotels für Dienstreisen oder aber Wohnadressen für Warenlieferungen können somit "ohne Probleme" weiterhin übermittelt werden.
Auch auf Grundlage der Einwilligung ist eine Datenübermittlung natürlich möglich, doch raten wir davon ab, da diese jederzeit widerrufen werden kann.

Fazit

Das wird auf fast alle Unternehmen Auswirkungen haben und solange die USA nicht in der Lage sind ein ausreichendes Datenschutzniveau für EU Bürger zu gewährleisten, wird sich dieses Problem auch nicht in Luft auflösen. Europäische Unternehmen sind gemeinsam mit der Politik gefragt, nachhaltige Lösungen zu finden. Grade Corona wäre eine hervorragende Möglichkeit um beim Wiederaufbau der Wirtschaft auch gleich die uns fehlenden technologischen Bausteine im Auge zu behalten - für einen Erstaufbau.

Links zum Artikel

Urteil des EuGH C-311/18 - Schrems II
Carlo Piltz | delegedata - systematische Darstellung des Urteils
noyb | Maximilian Schrems - Erste Stellungnahme zum EuGH Urtei
noyb | Maximilian Schrems - Fragebogen inkl. Anleitung für betroffene Unternehmen
Standarddatenschutz-Klauseln - englisch
tomshardware - Cisco Backdoor für US Agencys

---